Windows网络安全配置、管理和应用实例 (2009 年度畅销榜NO.4856 )

本书详细讨论了在Windows NT/2000网络环境中通过系统配置提高网络安全性的具体方法，同时介绍了各种部署场景下的服务器安全配置技术和步骤，并引导读者利用微软公司提供的系统工具分析与加固基于Windows NT/2000的服务器和客户端系统。此外，本书还详细介绍了使用微软公司的防火墙软付Internet Security & Acceleration Server(1SA)在用户和服务器之间建立安全屏障的具体实施办法。
本书适用于需要设计、规划、实现和支持Windows网络环境中安全性的IT专业人员阅读，对于网纬公司的系统设计人员、高校学生和各行业的网络从业人员也具有较强的指导性。另外，本书还适合网纬初学者学习、使用。

第1章 使用NTFS保护文件
1.1 磁盘分区比较
1.1.1 何谓FAT
1.1.2 何谓VFAT
1.1.3 何谓FAT32
1.1.4 何谓NTFS
1.1.5 在FATl6、FAT32、NTFS之间做出选择
1.2 转化分区
1.3 NTFS权限
1.3.1 访问控制列表
1.3.2 管理NTFS权限
1.3.3 多个NTFS权限计算
1.3.4 NTFS权限的继承
1.3.5 复制与移动文件和文件夹
1.3.6 SpecialNTFS权限
1.4 通过网络访问文件资源
1.4.1 与共享文件夹有关的权限
1.4.2 对NTFS权限和共享文件夹的权限进行组合，
1.5 利用EFS保护数据的安全
1.5.1 对文件夹或文件进行加密
1.5.2 对文件夹或文件进行解密
1.5.3 恢复加密的文件夹或文件
第2章 使用ActiveDirectory组策略进行安全配置和管理
2.1 组策略概述
2.2 创建组策略
2.2.1 组策略元素
2.2.2 组策略对象
2.2.3 对象连接
2.2.4 创建组策略对象
2.2.5 创建未连接的组策略对象
2.2.6 连接一个已存在的组策略对象
2.3 使用组策略管理客户端
2.3.1 管理模板
2.3.2 组策略脚本
2.3.3 重定向文件夹
2.4 应用组策略
2.4.1 处理组策略
2.4.2　刷新组策略
2.4.3 解决冲突的组策略
2.4.4 组策略的继承关系
2.5 通过组策略进行软件分发管理
2.5.1 Windows安装程序
2.5.2 软件分发点
2.5.3 用组策略分发软件包
2.5.4 使用zap文件分发软件
2.5.5 创建软件类别
第3章 运用Windows2000组策略对网络进行安全配置和管理
3.1 安全模版
3.1.1 使用安全模板管理工具
3.1.2 定义安全模板
3.2 安全配置和分析工具
3.2.1 安全性分析
3.2.2 安全配置
3.3 安全策略的设计和实现
3.3.1 服务器角色
3.3.2 支持服务器角色的ActiveDirectory结构
3.3.3 应用安全模板
3.3.4 集中管理安全模板
第4章 通过角色对服务器进行安全配置和管理
4.1 域策略
4.1.1 密码策略
4.1.2 账户锁定策略
4,2 成员服务器策略
4.2.1 成员服务器的基准组策略
4.2.2 成员服务器基准审计策略
4.2.3 成员服务器基准安全选项策略
4.2.4 成员服务器基准注册表策略
4.2.5 成员服务器基准文件访问控制列表策略
4.2.6 成员服务器基准服务策略
4.2.7 加强各成员服务器角色的安全
4.3 域控制器基准策略
4.4 其他基准安全策略的考虑
4.4.1 加强内置账户的安全
4.4.2 加强服务账户安全
4.4.3 检验端口配置
第5章 通过其他系统集成的工具对网络进行安全配置和管理
5.1 Microsoft Baseline Security Analyzer
5.1.1 安装MBSA
5.1.2 扫描单台计算机
5.1.3 查看扫描结果
5.1.4 批量扫描计算机
5.2 Hfnetchk
5.2.1 安全补丁程序
5.2.2 获得HfnetChk
5.2.3 工作原理
5.2.4　使用方法
5.3 IIS LOCkdOwn
5.3.1 安装IIS Lockdown
5.3.2 卸载IIS Lockdown
第6章 架设SUS服务器
6.1 SUS简介
6.2 SUS服务端安装
6.3 SUS服务器管理
6.4 SUS客户端管理
第7章 审核与入侵检测的配置和应用
7.1 审核功能—
7.1.1 启用审核功能
7.1.2 事件日志设置
7.2 审核类别
7.2.1 登录事件
7.2.2 审核账户登录事件
7.2.3 审核账户管理
7.2.4 审核对象访问—
7.2.5 审核特权使用
7.2.6 审核进程跟踪
9.2 配置管理协议规则
9.2.1 协议定义策略元素
9.2.2 配置时间表策略元素
9.2.3 配置客户端地址集策略元素
9.2.4 创建协议规则
9.2.5 修改协议规则
9.2.6 协议规则处理顺序
9.3 配置管理站点和内容规则
9.3.1 配置目标地址集策略元素
9.3.2 创建站点和内容规则策略元素
9.3.3 修改站点和内容规则
9.3.4 站点和内容访问规则处理／顷序
9.4 1P包过滤
9.4.1 创建IP包过滤
9.4.2 修改IP包过滤
9.4.3 入侵检测
9.4.4 相应入侵事件
第10章 管理ISA阵列
10.1 配置阵列
10.1.1 扩展活动目录架构
10.1.2 创建ISAServer阵列
10.1.3 加入到阵列
10.1.4 提升独立服务器
10.1.5 移除ISAServer阵列
10.2 阵列策略
10.2.1 创建企业策略
10.2.2 配置企业策略
10.2.3 为阵列配置企业策略
第11章 通过配置ISA服务器的缓存优化网络的性能
11.1 单机缓存
11.1.1 1SAServer缓存原理
11.1.2 管理服务器缓存文件
11.2 使用CARP阵列
11.2.1 CARP阵列工作原理
11.2.2 配置CARP
11.2.3 客户端容错配置
11.3 链式缓存
　1.4 优化ISA缓存
　1.5　制定定时下载任务
附录A　基准策略访问控制列表
附录B　Windows2000服务

计算机技术与通信技术相结合产生了计算机网络，同时随着计算机技术和通信技术的飞速发展，网络技术也出现了空前的繁荣景象。从应用来看，大到跨国公司、小到家庭，网络都在发挥着重要的作用；从技术来看，从早期的lOMb/s共享到目前的10000Mb/s交换，其技术更新使人眼花缭乱；从用户的需求来看，大家已不再满足于原来的文件和设备共享，而是在享受着今天互动式的多宽带媒体应用。所以说，今天的网络已非昨天的网络，今天的网络无论在组建方式、使用方式和管理方式上都存在着很大的不同。本系列书的出版正是为了满足目前网络用户的具体需求，从网络的组建入手，到网络的具体应用，再到网络的管理，较为系统、全面地介绍中小型网络的组建、应用和管理方法。 本系列书主要围绕网络组建、应用和管理三个方面，其中： 网络组建 网络组建一般分为硬件系统集成和软件系统集成两部分。其中：硬件部分主要以目前广泛使用的以太网技术为主，较为完整地介绍网络的规划、设计和具体组建过程与方法。在这部分内容中，强调了网络组建中要视具体的应用需求来确定硬件设备和集成方式，严格按照网络的分层(接入层→汇聚层→核心层)原则来规划网络；考虑到目前中小型网络用户的具体需要，软件部分主要以微软的WindowsNT/2000/2003Server为主进行介绍，同时兼顾部分用户的需要，还介绍了NetWare5.x/6.x及RedLinus 8.x/9.x网络的组建方法以及Windows、NetWare与Linux操作系统之间的集成方法。另外，针对一些小型公司、办公室、网吧及家庭用户，还介绍了Windows对等网络的组建过程。 网络应用 建网的目的是为了应用，许多单位投入了大量的资金组建了网络，但是由于种种原因根本没有发挥网络的应用价值，致使现有的网络资源被白白浪费。针对目前国内许多中小型网络存在的这种情况，本系列书较为全面地介绍了各种网络应用方案，除包括常见的WWW、FTP、Mail等服务器的构建外，还广泛介绍了各种行业软件和流行软件的使用方法。通过对这些软件的安装、调试及使用方法的系统介绍，使读者感觉到一个网络用户到底需要哪些方法的应用，另外也告诉大学目前的网络可以提供哪些服务。 网络管理 对于大部分网络用户来说，网络管理是一项技术难度较大且较为烦琐的工作，因为一个网络管理人员不但要熟悉网络的规划和组建这些基础过程，而且还要从更高的层次和不同的角度来研究所使用的网络，通过收集和分析相关的信息或观察网络的运行状况，发现网络存在或可能存在的问题，进而采取相应的措施，保障网络的正常运行。在本系列书中，将较全面地介绍网络管理的基本概念、技术和相关软件的使用方法，并通过大量管理实例的介绍，使读者掌握不同规模、不同环境和不同架构的网络的管理方法。 网络技术的发展日新月异，具体的网络应用之间也存在着差异，同时针对不同网络或同一网络所采取的管理方法也不尽相同。所以，为了保证本系列书的权威性、全面性和实用性，我们特约了国内网络界一些知名专家和工程技术人员负责本书的编写和校审工作。

随着IT系统平台的发展及应用的不断拓展，其所面临的安全风险也日益增加。如果希望有效地保护本单位的环境免受攻击，管理员就必须全面彻底地了解可能遭遇的各种危险。目前，绝大部分单位的网络环境是基于WindowNT或Windows2000平台的，为此本书以WindowNT或Windows 2000网络环境为基础，较系统地介绍其安全配置、管理和使用方法。 在识别网络面临的安全威胁时，管理员应该考虑两上主要因素： ●可能面临的攻击类型。 ●这些攻击会从什么地方发起。 许多管理员往往疏忽了第二个因素，以为危险攻击只来自外界(一般通过他们的Internet连接)。然而调查研究发现，31%的被调查者证明他们的内部系统也经常被攻击。许多公司可能对正在发生的内部攻击毫不知情，主要是因为他们没有监视这类内部行为。万无一失的IT环境根本就不存在，但这并不代表管理员应该放弃防守。相反，应该更加深入地了解汀系统，根本环境的变化及应用的需求保持网络的安全防御措施经常更新。 本书共分11章和两个附录。其中： 第1章 介绍在WindowsNT/2000系统中，使用NTFS分区的磁盘提供最安全服务，从而保护用户存储在磁盘中数据的安全性。 第2章 介绍使用ActiveDirectory组策略对Window2000系统进行安全配置和管理。 第3章 介绍运用Windows2000组策略对网络进行安全配置和管理的方法。 第4章 针对企业中的所有成员服务器和域控制器定义的基准策略，介绍了通过对特定功能的锁定来提高网络性能的具体方法。 第5章 介绍通过微软公司提供的系统工具对网络进行安全配置和管理的方法。 第6章 介绍Software Update Services(SUS)服务器的设计方法，以及通过SUS提高系统可靠性和安全性的具体步骤。 第7章 介绍WindowsNT/2000网络中审核与入侵检测的配置和应用。 第8章 系统介绍了微软公司的拳头安全产品Intemet Security and Acceleration (1SA)的安装和配置。 第9章 专门介绍了在ISA Server中通过使用访问规则来提高网络安全性的方法。 第10章 介绍通过配置容错、负载平衡和分布式缓存的ISA Server计算机来提高系统安全性的具体方法。 第11章 介绍通过配置ISA服务器的缓存优化网络性能的具体方法。 附录A和附录B分别列出了Windows2000的基准策略访问控制列表和Windows2000所提供的各种服务功能。